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Libpcap es una de esas herramientas que por su flexibilidad y potencia merece ser intro- 
ducida en el grupo de las [META \ COJO] herramientas. Si los RAW sockets son nuestra voz 
en la red, Libpcap sera nuestros oidos. 
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1. Introduction 


Antes de comenzar con Libpcap es fundamental que comprendamos las bases del funcio- 
namiento de una Red Local. No pretendo dar una definicion exhaustiva ni formal de corno 
funciona una red, lo importante ahora es que seas capaz de identificar cada uno de los elernen- 
tos que la componen. 


1.1. Introduccion a LANs Ethernet 

Que rnejor rnanera para repasar cada uno de los elementos que componen una red local 
que seguir el recorrido de uno de sus rnuchos paquetes. 


Cuando una aplicacion necesita enviar informacion a traves de la red, lo primero que hace 
es encapsular esa informacion en un protocolo de transporte (TCP,UDP), a partir de ese rno- 
rnento la informacion pasa a llamarse payload o carga util. Un protocolo de transporte sirve 
para especificar corno queremos que viaje nuestro paquete. Si lo pensamos esto no es nada 
nuevo, cuando nos varnos de vacaciones a Benidor enviamos postales a la familia, pero cuando 
tenemos que enviar un expediente academico lo hacemos por correo certificado. La razon para 
elegir un rnetodo u otro depende de lo importante que sea la informacion, del coste, de la 
prisa que tengamos etc... Este concepto es perfectamente aplicable a las redes, ya que cada 
protocolo de transporte tiene unas ventajas y unos inconvenientes. 


Ya sabemos que nuestro paquete va a ir por correo certificado, pero ahora... ^ corno especifi- 
carnos el destinatario?. Todas las maquinas de una misrna red tienen asociado un identificador 
rinico en la red. Este identificador se llama direccion IP y es un direccionamiento logico, es 
decir, independiente de la arquitectura sobre la que este montada la red (Ethernet, Token 
Ring, Token Bus etc...). 


Una vez anadida la cabecera IP a nuestro paquete, solo nos faltan por anadir las cabeceras 
propias del tipo de red sobre el que va a moverse el paquete, en nuestro caso la cabecera 
Ethernet. (Ver Fig.l) 

Fig.l Encapsulado de datos 
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Ethernet header 
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IP packet 


TCPi'UDP data 


En una LAN Ethernet todo dispositivo de red direccionable tiene asociada una direction 
Ethernet (normalmente llamada direccion MAC o simplemente MAC) que viene grabada de 
serie por el fabricante. Una de las cosas con las que se informa la cabecera Ethernet es la MAC 
de cada extremo de la comunicacion. 


^Conro sabe la red cual es la direccion MAC asociada a una IP?, la respuesta mas sencilla 
seria dotar a cada nraquina de una relation de equivalencias IP-MAC. Esta solution existe en 
sistemas reales y tiene el inconveniente de ser muy constoso de mantener y poco flexible. De 
ahf que las redes Ethernet cuenten con un mecanismo de resolution de direcciones IP a MAC 
y viceversa, estos protocolos se llarnan ARP y RARP. 


Una vez que tenemos unida toda esa information Payload + TCP + IP + Ethernet lo 
que en su conjunto se llama frame Ethernet podemos comenzar la transnrision. En un mo- 
delo sencillo corno en el que estamos trabajando, el paquete no se dirige directamente a su 
destinatario sino que es copiado por el Hubb en todos los cables de Red (Ver Fig. 2). Todos los 
sistemas comenzaran a leer los primeros 6 bytes del frame en los que esta codificada la MAC 
destino, pero solo aquel cuya MAC coincida con la del destinatario, leera el resto del paquete. 
Como puede verse, la red no tiene ningun mecanismo para asegurar que un envio solo pueda 
ser leido por su legftimo destinatario, basta un pequeno cambio de configuration en el modo 
en que el driver de red captura los datos (configuration en modo promiscuo ) , para que nuestra 
nraquina reciba todos los paquetes que circulan por la red. 
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Fig. 2 Envio de un frame Ethernet en una LAN 
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2 . 


Libpcap 


2.1. Libpcap, un poco de historia 

Libpcap es una libreria open source escrita en C que ofrece al programador una interfaz 
desde la que capturar paquetes en la capa de red, adernas Libpcap es perfectamente portable 
entre un gran nurnero de S.O’s. 


2.2. Primeros pasos 

Antes de comenzar a programar con Libpcap, debes tener instalada una copia en tu rnaqui- 
na, las fuentes oficiales de libpcap estan en www.tcpdump.org. La instalacion es rapida e in- 
dolora, basta con seguir los tres pasos habituales: configurar(. /configure), construir (make) e 
instalar corno root (make install). 

2.3. Esquematizacion de un programa 

No importa lo complicado que sea el programa que vayamos a construir con Libpcap, este 
siempre tiene que seguira un esquema basico (Ver Fig.3) 


Fig. 3 Esquematizacion de un programa con Libpcap 



En las siguientes secciones se desarrollan con ejemplos cada uno de las fases mostradas en 
la Fig.3 numeradas corno SI, S2, S3... 
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2.4. (SO) Obteniendo informacion del sistema 


Como puede verse en el grafico, la primera fase de nuestro programa es la Initialization. 
Esta engloba las funciones capaces de obtener informacion del sistema: Las interfaces de red 
instaladas, los configuration de estas interfaces (Mascara de Red, Direction de Red) etc... a 
continuation se recogen las funciones mas relevantes. 


2.4.1. Funciones especificas 

char *pcap_lookupdev(char *errbuf) 

Devuelve un puntero al primer dispositivo de red valido para ser abierto para captu- 
ra, en caso de error se devuelve NULL y una description del error en errbuf . 

int pcap_lookupnet (char ^device, bpf_u_int32 *netp,bpf _u_int32 *maskp, char *errbuf) 


Una vez obtenido el nornbre de una interfaz valida, podemos consultar su direction 
de red (que no su direction IP) y su mascara de subred. device es un puntero a un array 
de caracteres que contiene el nornbre de una interfaz de red valida, netp y maskp son 
dos punteros a bpf _u_int32 en los que la funcion dejara la direction de red y la mascara 
respectivamente. En caso de error la funcion devuelve -1 y una description del error en 
errbuf. 

int pcap_f indalldevs (pcap_if _t **alldevsp, char *errbuf) 


Esta funcion nos devuelve todos las interfaces de red que pueden ser abiertas para captu- 
rar datos, puede que existan mas interfaces en el sistema pero que por una razon u otra 
no puedan ser abiertas para captura (falta de permisos). Estas interfaces no apareceran 
en la lista. 

Para llarnar a esta funcion nos basta un puntero sin inicializar de tipo pcap_if _t, vease 
las section Estructuras de datos usadas por Pcap pagina 39 para ver una description 
detallada. La funcion transformara ese puntero en una lista enlazada que contendra cada 
una de las interfaces y sus datos asociados (direction de red y mascara). En caso de error 
la funcion devuelve -1 y una description del error en errbuf. 

int pcap_datalink(pcap_t *p) 

Esta funcion devuelve el tipo de enlace de datos asociado a una interfaz de red. El 
valor de retorno puede ser uno de los siguientes: 

DLT NULL BSD loopback encapsulation 

DLT ENIOMB Ethernet (10Mb, 100Mb, 1000Mb, and up) 

DLT JEEE802 IEEE 802.5 Token Ring 
DLT ARCNET ARCNET 
DLT SLIP SLIP 
DLT PPP PPP 
DLT_FDDI FDDI 



DLT_ATM_RFC1483 RFC 1483 LLCSNAP-encapsulated ATM 
DLT.RAW raw IP, el paquete comienza con una cabecera IP 
DLT_PPP_SERIAL PPP en modo HDLC-like framing (RFC 1662) 

DLT_PPP_ETHER PPPoE 

DLT_C_HDLC Cisco PPP con HDLC framing, definido en 4.3.1 RFC 1547 

DLT JEEE802 11 IEEE 802.11 wireless LAN 

DLT LOOP OpenBSD loopback encapsulation 

DLT LINUX SLL Linux cooked capture encapsulation 

LT LTALK Apple LocalTal 
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2.4.2. Ejemplo Primer programa con Libpcap 

* 

* Fichero: Isdevs.c 

* Fecha: Alejandro Lopez Monge 

* Orignal: Martin Casado http://www.cet.nau.edu/~mc8/Socket/Tutorials/sectionl.html 

* 

* Compilacion: gcc Isdevs.c -Ipcap 

* 

* Descripcion: 

* Buscamos la primera interfaz de red disponible y lista su direccion de red 10 

* (que no su direccion IP) y su mascara de subred. 

* 

#include <stdio.h> 

#include <stdlib.h> 

#include <errno.h> 

#include <sys/socket.h> 

#include <netinet/in.h> 

#include <arpa/inet.h> 

#include <pcap.h> 

int main(int argc, char **argv) 

{ 

char *net; 
char *mask; 
char *dev; 
int ret; 

char errbuf[PCAP_ERRBUF_SIZE]; 
bpf_u_int32 netp; 
bpf_u_int32 maskp; 
struct in_addr addr; 

if((dev = pcap_lookupdev(errbuf))== NULL) //conseguimos la primera interfaz libre 
{printf ( "ERROR "/, s \n " , errbuf ) ;exit ( — 1 ) ; } 

printf("Nombre del dispositivo: "/,s\n",dev); //mostramos el nombre del dispositivo 

if((ret = pcap_lookupnet(dev,&'netp,&maskp,errbuf))==— 1) //consultamos las direccion de red y las mascara 
{printf ( "ERROR "/. s \n " , errbuf ) ;exit ( — 1 ) ; } 40 

addr.s_addr = netp; //Traducimos la direccion de red a algo legible 

if((net = inet_ntoa(addr))==NULL) 

{perror("inet_ntoa");exit(— 1);} 

printf( "Direccion de Red: '/,s\n",net); 

addr.s_addr = maskp; //Idem para la mascara de subred 

mask = inet_ntoa(addr); 

50 

if((net=inet_ntoa(addr))==NULL) 

{perror("inet_ntoa");exit(— 1);} 

printf( "Mascara de Red: "/.s\n",mask); 
return 0; 

} 


// direccion de red 
// mascara de subred 
// nombre del dispositivo de red 
// codigo de retorno 
// buffer para mensajes de error 

// direcion de red en modo raw 30 

// mascara de red en modo raw 
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2.5. (S2) Capturando Paquetes 

Una vez que sabemos como obtener el listado de las interfaces instaladas en nuestro sistema 
y sus configuraciones, ya estamos preparados para comenzar con la captura en si. 


Existen varias funciones para capturar paquetes, las prinicipales diferencias entre ellas son: 
El nurnero de paquetes que queremos capturar, el rnodo de captura, normal o promiscuo y la 
rnanera en que se definen sus funciones de llamada o Callbacks (la funcion invocada cada vez 
que se captura un paquete). 


2.5.1. Funciones Especificas 

pcap.t *pcap_open_live (char ^device, int snaplen,int promise, int touns, char *errbuf) 


Antes de entrar en el bucle de captura hay que obtener un descriptor de tipo pcap.t, para 
lo cual empleamos esta funcion. El primer parametro (char* device) es el nornbre del 
dispositivo de red en el que queremos iniciar la captura (los valores ANY o NULL fuerzan 
la captura en todos los dispositivos disponibles) . 


El segundo argunrento (int snaplen) especifica el nurnero maxirno de bytes a capturar. 
El argunrento promistic indica el rnodo de apertura, un valor distinto de 0 iniciara la 
captura en rnodo promiscuo, 0 para rnodo normal. 

Como se explicara mas adelante en detalle en la seccion 2.6.1, los programas basados en 
Libpcap se ejecutan en la zona de usuario pero la captura en si en la zona de Kernel. Se 
hace por lo tanto necesario un carnbio de area, estos cambios son muy costosos y hay que 
evitarlos a toda costa si queremos optimizar el rendimiento, de ahi que esta funcion nos 
permita especificar mediante el parametro torms cuantos milisegundos queremos que el 
Kernel agrupe paquetes antes de pasarlos todos de una vez a la zona de usuario. 

Si la funcion devuelve NULL se habra producido un error y puede encontrarse una 
descripcion del error en errbuf . 

int pcap .dispatch (pcap_t *p, int ent ,pcap .handler callback, u.char *user) 


Esta funcion se utiliza para capturar y procesar los paquetes. ent indica el nurnero 
maxirno de paquetes a procesar antes de salir, cnt=-l para capturar indefinidanrente. 
callback es un puntero a la funcion que sera invocada para procesar el paquete. Para 
que un puntero a funcion sea de tipo pcap_handler, debe recibir tres parametros: 

Puntero u.char Aqui es donde va propiamente paquete, mas adelante veremos como 
interp retar lo. 

Estructura pcap.pkthdr Definida en detalle en la seccion de Estructuras pagina 39. 

La funcion devuelve el nurnero de paquetes capturados o -1 en caso de error, en cuyo caso 
pueden emplearse las funciones pcap_perror() y pcap_geterr() para mostrar un mensaje 
mas descriptivo del error. 
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int pcap_loop(pcap_t *p, int cnt, pcap .handler callback, u.char *user) 

Es bastante parecida a pcap.dispatch, la diferencia es que no finaliza cuando se produce 
un error por timeout. En caso de error se devolvera un nurnero negativo y 0 si el nurnero 
de paquetes especificados por cnt se ha completado con exito. 

u.char *pcap_next (pcap.t *p, struct pcap.pkthdr *h) 

Lee un unico paquete y devuelve un puntero a u.char con su contenido. Sin necesidad 
de declarar ninguna funcion Callback. 

2.5.2. Ejemplo 1 (pcapmext) 

* file: pcap-next.c 

* date: 25-Abril-2005 

* Author: Alejandro Lopez Monge 

* 

* Compilacion: gee -Ipcap -o pcap-next pcap-next.c 

* 

* Ejemplo de como capturar un unico paquete usando pcap-next 

10 

#include <stdio.h> 

#include <stdlib.h> 

#include <pcap.li> 

#include <errno.h> 

#include <sys/socket.h> 

#include <netinet/in.h> 

#include <arpa/inet.h> 

#include <netinet/if_ether.h> 
int main(int arge, char **argv) 

{ 20 

int i; 

char *dev; 

char errbuf [PC AP_ERRBUF_SIZE] ; 

pcap.t* descr; 

const u.char *packet; 

struct pcap.pkthdr hdr; 

u.char *ptr; //Contenedor del paquete 

if((dev = pcap_lookupdev(errbuf))==NULL) //buscamos un dispositivo 

{printf(" "/,s\n" ,errbuf);exit(l);} 30 

printf("Abriendo : "/,s\n" ,dev); 

if((descr = pcap_open_live(dev,BUFSIZ, 0,-1, errbuf)) == NULL) //abrimos un descriptor 
{printf("pcap_open_live() : "/,s\n",errbuf);exit(l);} 

if((packet = pcap_next(descr,&lidr))==NULL) //capturamos nuestro primer paquete 
{printf("Error al capturar el paquete\n");exit( — 1);} 

printf("Capturado paquete de tamano "/,d\n",hdr.len); 

printf("Recibido a las ’/,s\n",ctime((const time_t*)&hdr.ts.tv_sec)); 40 

return 0; 

} 
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2.5.3. Ejemplo 2 (pcap_loop) 


* file: pcapJoop.c 

* date: 25- Abril-2005 

* Author: Alejandro Lopez Monge 

* 

* Compilacion: gee -Ipcap -o pcapJoop pcapJoop.c 

* 

* Ejemplo de como usar la funcion pcapJoop, y definicion de una 

* funcion Callback 

* 

#include <pcap.li> 

#include <stdio.h> 

#include <stdlib.h> 

#include <errno.h> 

#include <sys/socket.h> 

#include <netinet/in.h> 

#include <arpa/inet.h> 

#include <netinet/if_ether.h> 

/ /Funcion callback, sera invocada cada vez que se reciba un paquete 

void my_callback(u_char *useless, const struct pcap_pkthdr* pkthdr, const u_char* packet) 

{ 

static int count = 1; 
fprintf(stdout," '/,d, ".count); 
fflush(stdout); 
count ++; 

} 

int main(int argc.char **argv) 

{ 

char *dev; 

char errbuf [PC AP_ERRBUF_SIZE] ; 

pcap_t* descr; 

const u_char *packet; 

struct pcap_pkthdr hdr; 

struct ether_header *eptr; // Ethernet 

bpf_u_int32 maskp; / / mascara de subred 

bpf_u_int32 netp; / / direction de red 
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20 


30 


40 


if(argc != 2) 

{fprintf(stdout,"Modo de Uso"/,s \"programa de filtrado\"\n",argv[0]);return 0;} 

dev = pcap_lookupdev(errbuf); //Buscamos un dispositivo del que comenzar la captura 
if (dev == NULL) 

{fprintf(stderr," "/.s\n", errbuf); exit(l);} 
else 

{printf("Abriendo "/,s en modo promiscuo\n",dev);} 50 

pcap_lookupnet(dev,&netp,&maskp, errbuf); //extraemos la direction de red y la mascara 
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descr = pcap_open_live(dev,BUFSIZ,l, — l.errbuf); //comenzamos la captura en modo promiscuo 


if(descr == NULL) 

{printf("pcap_open_live 0 : °/,s\n" .errbuf); exit(l); } 
pcap_loop(descr, — l,my_callback,NULL); //entramos en el bucle (infinito) 


return 0; 



2.6. (SI) Como filtrar solo lo que nos interesa 


2.6.1. Z.Q u <3 es un Packet/Socket Filter? 

Ya hemos comentado que Libpcap es una libreria de funciones y que los procesos que eje- 
cutan estas funciones, lo hacen en el nivel de usuario ( user space). Sin embargo la captura 
real de datos tiene lugar en las capas mas bajas del Sistema operativo, en la llamada zona 
Kernel ( Kernel area), debe por lo tanto existir un mecanismo capaz de traspasar esta frontera, 
y hacerlo adernas de un rnodo eficiente y seguro, ya que cualquier cualquier fallo en capas tan 
profundas degradara el rendimiento de todo el sistema. 


Supongamos que nos interesa programar una aplicacion capaz de monitorizar la red en 
tiernpo real en busca de paquetes cuyo puerto TCP origen sea el 135 (smtorna de que alguno 
de los ordendores de la red esta infectado por el Blaster). Si no existiese ningun mecanismo 
de filtrado, el Kernel no sabrfa cuales son los paquetes en los que esta interesada nuestra apli- 
cacion, por lo que tendna que traspasar la frontera Kernel - User space por cada paquete 
que transite por la red. 

Para evitar esto, la solucion pasa por que la aplicacion establecezca un filtro en la zona Kernel 
que solo deje pasar los paquetes cuyo puerto TCP destino sea el 135. Esta es la principal labor 
de un Packet/Socket Filter. 


No existe un sistema unico de filtrado, por el contrario practicamente cada S.O reescribe 
su propia solucion: NIT para SunOS, Ultrix Packet Filter para DEC Ultrix, BPF para sis- 
ternas BSD (originalmente) y mas recientemente LSF ( Linux Socket Filter) la implement acion 
para Linux. 


En este apartado me centrare unicamente en BPF por ser el mas extendido y el rnodelo de 
referenda para la creacion de LSF. 


El funcionamiento de BPF se basa en dos grandes componentes: El Network Tap y el Packet 
Filter. El primero es el encargado de recopilar los paquetes desde el driver del dispositivo de 
red y entregarselos a aquellas aplicaciones a las que vaya destinado. El segundo en el encargado 
de decidir si el paquete debe ser aceptado (coincidencia direcciones Ethernet) y en caso afir- 
rnativo, cuanto de ese paquete debe ser entregado a la aplicacion (no tendna sentido entregarle 
a la aplicacion un paquete con cabeceras Ethernet). 


En la figura 4 puede verse el esquema general de funcionamiento de BPF dentro del sistema. 
Cada vez que llega un paquete a la interfaz de red, lo normal es que el driver de red lo rnande 
hacia la pila de protocolos (protocol stack) siempre y cuando no este activo BPF en cuyo caso 
antes de enviarse a la pila, el paquete debe ser procesado por el. 


Fig. 4 BPF en accion 
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BPF sera el encargado de comparar el paquete con cada uno de los filtros establecidos, 
pasando una copia de dicho paquete a cada uno de los buffers de las aplicaciones cuyo filtro 
se ajuste a los contenidos del paquete. En caso de que no exista ninguna coincidencia, se de- 
vuelve el paquete al driver, el cual actuara normalmente, es decir, si el paquete esta dirigido 
a la propia maquina se lo pasara a la pila de protocolos y en caso contrario lo descartara sin 
que el paquete haya salido en ningun momento de la zona Kernel. 


Puede haber procesos interesados en consultar cada uno de los paquetes de la red, lo que 
echa por tierra todos los intentos por maximizar el rendimiento ya que tendrfamos que tras- 
pasar la frontera entre la zona Kernel y el espacio de usuario por cada paquete recibido. 

Para evitar esto BPF agrupa la information de varios paquetes para luego pasarlos todos de 
una vez. 

Para mantener la secuencialidad en que se recibieron los paquetes, BPF anade una rnarca de 
tiernpo, tarnano y offset a cada uno de los paquetes del grupo. 


2.6.2. Primitivas de Filtrado TCPDUMP 

BPF tiene su propio lenguaje para la programacion de filtros, un lenguaje de bajo nivel 
parecido al ensamblador. De rnodo que Libpcap implementa un lenguaje rnucho mas amigable 
para definir sus filtros. Este lenguaje logicamente debe ser compilado a BPF compatible antes 
de ser aplicado. 


A continuation se detalla corno programar filtros con el lenguaje de alto nivel desarrollado 
por Libpcap y popularizado por TCPDUMP que a dfa de hoy se ha convertido en el estandar 
para definir filtros de captura. 
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La expresion que se usa para definir el filtro tiene una serie de primitivas y tres posibles 
modificadores a las mismas. Esta expresion puede ser verdadera en cuyo caso el paquete se 
pasa a la zona de usuario o falsa en cuyo caso el paquete se descarta sin llegar a salir en ningun 
caso de la zona Kernel, tal y corno hernos visto en la section anterior. 


Los 3 modificadores posibles son: 


tipo Puede ser host, net o port. Indicando respectivamente: maquina (por ejemplo host 
192.168.1.1) , una red completa (por ejemplo net 192.168) o un puerto concreto ( 
por ejemplo port 22). Por defecto se asume el tipo host. 

dir Especifica desde o hacia donde se va a rnirar el flujo de datos. Tenemos src o dst y pode- 
mos combinarlos con or y and. Para el caso de de protocolos punto a punto podemos sus- 
tituir por inbound o outbound. Por ejemplo si queremos la direction de destino 10.10.10.2 
y la de origen 192.168.1.2, el filtro sera dst 10.10.10.2 and src 192 . 168 .1.2 . Si se 
quiere que sea la direction destino 192.168.1.1 o la direction origen 192.168.1.2 el codigo 
sera dst 192.168.1.1 or src 192 . 168 . 1 . 2. Pueden seguirse combinando con la ayuda 
de parentesis o las palabras or y and. Si no existe se supone src or dst. Por supuesto, 
esto se puede combinar con los modificadores de tipo anteriores. 

proto En este caso es el protocolo que queremos capturar. puede ser tcp, udp, ip, ether 
(en este ultimo caso captura trarnas a nivel de enlace), arp (peticiones arp), rarp (pet- 
ciones reverse-arp) ,fddi para redes FDDI. 

Estas expresiones siempre pueden combinarse con la ayuda de parentesis y operadores logicos, 
Negation (! not), Concatenation (&& and), Alternativa (| | or). 

A continuation se detallan las primitivas que pueden usarse. Lo que aperece entre [ ] es 
opcional, y el | (pipe) significa XOR ( ,°” exclusiva) . 


[dst | src] host jmdquinal 


Verdadero si la direction destino u origen del paquete coincide con jmaquina$ la cual pue- 
de ser una direction IPv4 (o IPv6 si se ha compilado soporte para el misrno), o un nornbre 
resoluble por el DNS. 


Ejemplos: 


* Capturar el trafico originado por la IP 192.168.1.1 


src host 192.168.1.1 


* Capturar todo el trafico cuya direction origen o destino sea 192.168.1.2 
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host 192.168.1.2 


ether src | dst | host ;edir£ 

Este filtro es cierto si la direccion origen (src), la destino (dst) o el cualquiera de las 
dos(host) coincide con edir. Es obligatorio especificar uno de los tres modificadores. 

Ejemplos: 

* Capturar el trafico con destinado a 0:2:a5:ee:ec:10 
ether dst 0 : 2 : a5 : ee : ec : 10 

* Capturar el trafico cuyo origen o destino sea 0:2:a5:ee:ec:10 

ether host 0 : 2 : a5 : ee : ec : 10 


gateway ;mdquina£ 


Veradadero en caso de que el paquete use jmaquina^ corno gateway, jmaquina $ debe estar 
definida en /etc/ethers y /etc/hosts. Los paquetes capturados por este tipo de filtro, son 
aquellos cuya direccion Ethernet destino es jmaquina pero la direccion IP destino es la de 
otro sistema. 

[dst | src] net jred£ 


Verdadero en caso de que la red de la direccion destino, origen o ambas sea jred$. El 
parametro red puede ser una direccion numerica (por ejemplo 192.168.1.0) o bien un nornbre 
resoluble a traves de /etc/networks. Resaltar que el uso de net, mask, etc no es compatible 
con direcciones IPv6. Si se quiere hacer referencia a la red destino se usa dst corno prefijo. 
Para la red origen se usa src 


Ejemplos: 


* Capturar todo el trafico cuya red destino sea 192.168.1.0 


dst net 192.168.1.0 


* Capturar todo el trafico cuya red origen sea 192.168.1.0/28 
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src net 192.168.1.0 mask 255 . 255 . 255 . 240 o tambien src net 192.168.1.0/28 


* Capturar todo el trafico con origen o destino en la 10.0.0.0/24 
net 10 . 0 . 0 . 0/24 o tambien net 10.0.0.0 mask 255.255.255.0 

[dst | src] port ;puerto£ 

Este filtro capturara el paquete en caso de que el puerto (udp o tcp) coincida con jpuert.o$. El 
puerto es un valor numerico entre 0-65535 o bien un nornbre resoluble a traves del /etc/services. 

Ejemplos: 

* Capturar todo el trafico con destino al puerto 23 


dst port 23 


* Capturar todo el trafico con destino u origen puerto 80 


port 80 


less ;longitud£ 

Verdadero en caso de que el tarnano del paquete sea rnenor o igual jlongitud$. 


greater jlongitudi 

Verdadero en caso de que el tarnano del paquete sea mayor o igual que jlongitud$. 


ip proto protocolo 

En este caso escucha el protocolo que se le indique. El protocolo puede ser icrnp, icrnpG, 
igrnp (internet group managent protocol), igrp (interior gateway routing protocol), pim (pro- 
tocol independent multicast), ah (IP Authentication header), esp (encapsulating security pay- 
load), udp o tcp. 

Por comodidad disponemos de los alias tcp, udp e icrnp que equivalen a ip proto tcp or ip6 
proto tcp, etc... 


Ejemplos: 

* Capturar el todo los paquetes icrnp 

ip proto icrnp 
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* Capturar todo el trafico udp 


ip proto udp 

ip6 protochain jprotocolo $ j protocolo & es el niimero de prorocolo, este nurnero puede 
encontrarse en /etc/protocols. 

ip protochain protocolo 

Igual que el caso anterior pero para IPv4. 

ether broadcast 

Verdadero si la trarna capturada va dirigida hacia la direccion de difusion ethernet. 

ip broadcast 

Verdadero si el paquete va dirigido a la direccion de difusion de IP. 

ether multicast 

Verdadero si la trarna va dirigida a una direccion multicast ethernet. 

ip multicast 

Verdadero si el paquete va dirigido a una direccion multicast IP. 

ip6 multicast 

Verdadero si el paquete va dirigido a una direccion multicast IPv6. 

ether proto protocolo 

Verdadero si el protocolo que contiene la trarna es de tipo protocolo Los protocolos son ip, 
ip6, arp, rarp, atalk, aarp, decnet, sea, lat, rnopdl, rnopre e iso. 

Pueden utilizarse los siguientes alias para hacer mas cornoda la sintaxis: ip, ip6, arp, rarp, 
aarp, decnet e iso. Estos alias son equivalentes a ether proto ip, ether proto ip6, etc. 

Ejemplos: 

* Capturar todo trafico arp 
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ether proto arp o tambien arp 

* Capturar todo trafico ip 
ether proto ip 

vlan [vlanid] 

Verdadero si la trama capturada es un paquete 802. IQ VLAN. Tener en cuenta que esto 
cambia el resto de la interpretation del paquete capturado, en especial los desplazanrientos 
a partir de los cuales enrpiezan a decodificar los protocolos, ya que se asunre que se estan 
capturando paquetes que viajan en tranras VLAN. Por ultimo si esta presente el paranretro 
vlanid, solo se nrostraran aquellos paquetes que vayan a la VLAN vlanid. 

Combinando los filtros 

Se pueden conrbinar las expresiones anteriores a traves de los operadores not, and y or 
dando lugar a filtros mas conrplejos. Podenros usar tambien los equivalentes del lenguaje C: !, 
&& o | | . 

Ejemplos: 

* Capturar todo el trafico Web (TCP port 80) 
top and port 80 

* Capturar el todas las peticiones DNS 
udp and dst port 53 

* Capturar el trafico al puerto telnet o ssh 
top and (port 22 or port 23) 

* Capturar todo el trafico excepto el web 
top and not port 80 
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Filtros Avanzados 

Podemos crear filtros manualmente, consultando los contenidos de cada uno de los octetos de 
un paquete, la expresion general para crear un filtro avanzado es: 

expr relop expr 


Donde: 

relop puede ser cualquiera de los operadores relacionales de C( l,\, }= j=, = y !=). 
expr es una expresion aritmetica compuesta por una serie de numeros enteros, los operadores 
binarios de C, (+, *, /, & y |), un operador de longitud, len, y una serie de palabras reser- 

vadas que nos permiten el acceso a los diferentes paquetes de datos (ether, fddi, tr, ip, arp, 
rarp, tcp, udp, icrnp e ip6). 


Para acceder a los datos dentro de un paquete, se usan los modificadores anteriores y una 
expresion entera. 


Opcionalmente se puede especificar el tarnaho de los datos a los que se accede. 


protocolo [expr : tam] 


Asi por ejemplo, el primer byte de la trarna ethernet sera ether [0], la primera palabra 
sera ether [0:2]. El parametro tam puede ser 1 (por defecto y no hace falta especificarlo), 2 o 4. 


A tener en cuenta: En caso de usar tcp[indice] o udp[indice], implicitamente se aplica 
una regia para averiguar si es un paquete fragmentado, es decir, usando la notacion de estos 
filtros ip[0:2] & Oxlfff = 0. udp[0] o tcp[0] se refieren al primer byte de la cabecera UDP o TCP. 


2.6.3. Funciones especificas 

int pcap_compile(pcap_t *p, struct bpf_program *fp,char *str, int optimize, bpf_u_int32 ne 


Esta funcion se ernplea para compilar un programa de filtrado en formato Tcpdump 
(char* str) en su BPF equivalente (bpf _u_int32 netmask) 

Es posible que durante la compilation el programa original se modifique para optimizarlo. 
netmask es la mascara de la red local, que puede obtenerse llamando a pcap_lookupnet. 
En caso de que la funcion retorne -1, se habra producido un error, para una description 
mas detallada de lo sucedido podemos emplear la funcion pcap_geterr() 

int pcap_setf ilter (pcaprt *p, struct bpf_program *fp) 


Una vez compilado el filtro solo falta aplicarlo, para ello basta con pasar como para- 
metro a esta funcion el resultado de compilar el filtro con pcap_compile. 

En caso de error la funcion devolvera -1 y puede obtenerse una description mas detallada 
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del error con pcap_geterr(). 
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2.6.4. Ejemplol: Aplicando filtros 


* file: pcap -filter s.c 

* date: 25-Abril-2005 

* Author: Alejandro Lopez Monge 

* 

* Compilacion: gee -Ipcap -o pcap-filters pcap -filter s.c 

* 

* Ejemplo de como filtrar el traico con Libpcap, el programa recibe 

* como parametro un filtro, lo compila, lo aplica y se mete en un 

* bucle infinito capturando todos los paquetes en modo PROMISCUO 

* 


#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 


<pcap.h> 

<stdio.h> 

<stdlib.li> 

<errno.h> 

<sys/socket.h> 

<netinet/in.h> 

<arpa/inet.li> 

<netinet/if_ether.h> 


/ /Funcion callback, sera invocada cada vez que se reciba un paquete 

void my_callback(u_char *useless, const struct pcap_pkthdr* pkthdr, const u_char* packet) 

{ 

static int count = 1; 
fprintf(stdout," '/,d, ".count); 
fHush(stdout); 
count ++; 

} 


int main(int argc.char **argv) 

{ 

int i; 

char *dev; 

char errbuf [PC AP_ERRBUF_SIZE] ; 

pcap_t* descr; 

const u_char *packet; 

struct pcap_pkthdr hdr; 

struct ether_header *eptr; // Ethernet 

struct bpf_program fp; / / contenedor con el programa compilado 
bpf_u_int32 maskp; / / mascara de subred 

bpf_u_int32 netp; / / direccion de red 


10 


20 


30 


40 


if(argc != 2) 

{fprintf(stdout,"Modo de Uso"/,s \"programa de f iltrado\"\n" ,argv[0]);return 0;} 

dev = pcap_lookupdev(errbuf); //Buscamos un dispositivo del que comenzar la captura 
if (dev == NULL) 50 

{fprintf(stderr," "/,s\n", errbuf); exit(l);} 
else 

{printf("Abriendo "/.s en modo promiscuo\n",dev);} 

pcap_lookupnet(dev,&netp,&maskp, errbuf); //extraemos la direccion de red y la mascara 
descr = pcap_open_live(dev,BUFSIZ,l, — l, errbuf); //comenzamos la captura en modo promiscuo 
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if(descr == NULL) 

{printf("pcap_open_live 0 : '/,s\n" .errbuf); exit(l); } 


60 


if(pcap_compile(descr,&fp,argv[l],0,netp) == —1) //compilamos el programa 
{fprintf(stderr, "Error compilando el filtro\n"); exit(l);} 

if(pcap_setfilter(descr,&fp) == —1) //aplicamos el filtro 

{fprintf(stderr, "Error aplicando el filtro\n"); exit(l);} 

pcap_loop(descr, — l,my_callback,NULL); //entramos en el bucle (infinito) 

return 0; 70 
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2.7. (S3) Interpretando los datos 

2.7.1. Organization de un Paquete 

Nota: Esta section solo hace referenda a el protocolo Ethernet. 


Como recordabamos en la section introductoria pag 4 cuando una aplicacion quiere enviar 
datos a traves de una red, antes tiene que anadir las cabeceras de los protocolo que vaya a 
emplear en la transmision. Ver Fig.l pag 4 


En la section anterior hernos llegado a conseguir un (u_char *) con el conjunto de los 
datos en bruto, tambien llamados datos RAW, pero para poder obtener information inteligfble, 
tenemos que hacer la labor que la pila de protocolos hubiera hecho por nosotros, es decir ex- 
traer e interpretar las cabeceras anadidas por el remitente. 

A pesar de que en esta section se comentan en detalle las estructuras de datos que con- 
tendran las cabeceras, nunca esta de mas tener a rnano los RFCs mas relevantes: 

RFC 793 (TCPv4) 

RFC 791 (IP) 

RFC 768 (UDP) 

RFC 826 (ARP) 

RFC 792 (ICMPv4) 

La primera cabecera que varnos a extraer es la Ethernet, definida en el fichero ethernet.h 
en /usr /includes /net/, nos encontramos con los siguiente: 


/* This is a name for the f8 bit ethernet address available on many 
systems. */ 
struct ether_addr 
{ 

u_int8_t ether_addr_octet[ETH_ALEN]; 

} attribute (( packed )); 

/* lOMb/s ethernet header */ 
struct ether_header 

{ 10 
u_int8_t ether_dhost[ETH_ALEN]; /* destination eth addr */ 
u_int8_t ether_shost[ETH_ALEN]; /* source ether addr */ 
u_intl6_t ether_type; /* packet type ID field */ 

} attribute (( packed )); 

/* Ethernet protocol ID’s */ 

#define ETHERTYPE_PUP 0x0200 /* Xerox PUP */ 

#deflne ETHERTYPE.IP 0x0800 /* IP */ 
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#define ETHERTYPE_ARP 0x0806 /* Address resolution */ 

#define ETHERTYPE.REVARP 0x8035 /* Reverse ARP */ 
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#define ETHER_ADDR_LEN ETH.ALEN /* size of ethernet addr */ 

#define ETHER_TYPE_LEN 2 /* bytes in type field */ 

#deflne ETHER_CRC_LEN 4 /* bytes in CRC field */ 

#define ETHER_HDR_LEN ETH.HLEN /* total octets in header */ 

#deflne ETHER_MIN_LEN (ETH.ZLEN + ETHER_CRC_LEN) /* min packet length */ 

#deflne ETHER_MAX_LEN (ETH_FRAME_LEN + ETHER_CRC_LEN) /* max packet length */ 


Del codigo podemos interpretar que el tipo encargado de contener una cabecera Ethernel 
se llama ether dreader y que a grandes rasgos tiene 3 datos interesantes: La direccion ethernet 
origen (ether.shost), la direccion ethernet destino (ether.dhost) y el tipo de paquete que 
porta, que puede ser: 

ETHERTYPE PUP Xerox PUP 
ETHERTYPE IP Es un paquete de tipo IP 

ETHERTYPE_ARP Es un paquete de tipo ARP (traduction de direcciones ethernet a ip) 

ETHERTYPE_RARP Es un paquete de tipo RARP (traduction de direcciones ip a ether- 
net) 

En el fichero netinet /ether. h estan definidas varias funciones utiles para tratar con di- 
recciones Ethernet. 


/ /Funciones para convertir una direccion Ethernet de 48bits a texto legibl 

extern char *ether_ntoa ( const struct ether_addr * addr) THROW; 

extern char *ether_ntoa_r ( const struct ether_addr * addr, char * but) 

THROW; 

/ /Funciones para convertir de formato texto a una direccion Ethernet de 48bits 
extern struct ether_addr *ether_aton ( const char * asc) THROW; 

extern struct ether_addr *ether_aton_r ( const char * asc, 10 

struct ether_addr * addr) THROW; 

/ / Mapeo de un hostname a una direccion Ethernet de 48 bits 

extern int ether_hostton ( const char * hostname, struct ether_addr * addr) 


Una vez sabido como esta estructurada la cabecera Ethernet, podemos extraerla del u_char 
* packet, puesto que sabemos que se corresponde con los 14 primeros bytes (sizeof(struct et- 
her dreader) ) , de hecho los primeros 14 bytes siempre corresponderan a una cabecera Ethernet, 
no as! los siguientes que dependeran del valor que tome el carnpo ether_type. 


En este caso vanros a suponer que el paquete es de tipo IP ( ether _type=ETHERTYPE JP), 
de nrodo que despuees de los 14 bytes de la cabecera Ethernet, vanros a encontrar una cabecera 
IP. La estructura que contendra la cabecera IP esta definida en ip.h (/usr/includes/netinet/), 
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de donde he sacado el siguiente fragmento: 


/* 

* Structure of an internet header, naked of options. 

V 

struct ip 

{ 

#if __BYTE_ORDER == __LITTLE_ENDIAN 

unsigned int ip_hl:4; /* header length */ 

unsigned int ip_v:4; /* version */ 

#endif 

#if __BYTE_ORDER == __BIG_ENDIAN 
unsigned int ip_v:4; 
unsigned int ip_hl:4; 

#endif 

u_int8_t ip_tos; 
u_short ip_len; 
u_short ip_id; 
u_short ip_off; 

#deflne IP_RF 0x8000 
#deflne IP_DF 0x4000 
#deflne IP_MF 0x2000 
#deflne IP_OFFMASK Oxlfff 
u_int8_t ip_ttl; 
u_int8_t ip_p; 
u_short ip_sum; 
struct in_addr ip_src, ip_dst; 

}; 

/* 

* Definitions for options. 

7 

#deflne IPOPT_COPY 0x80 
#deflne IPOPT_CLASS_MASK 0x60 
#deflne IPOPT_NUMBER_MASK Oxlf 

#deflne IPOPT_COPIED(o) ((o) & IPOPT_COPY) 

#deflne IPOPT_CLASS(o) ((o) & IPOPT_CLASS_MASK) 
#deflne IPOPTYNUMBER(o) ((o) & IPOPT_NUMBER_MASK) 

#deflne IPOPT.CONTROL 0x00 

#deflne IPOPTYRESERVED1 0x20 

#deflne IPOPT.DEBMEAS 0x40 

#deflne IPOPT.MEASUREMENT IPOPT.DEBMEAS 

#deflne IPOPTYRESERVED2 0x60 


/* version */ 

/* header length */ 

/* type of service */ 

/* total length * / 

/* identification */ 

/* fragment offset field */ 

/* reserved fragment flag */ 

/* dont fragment flag */ 

/* more fragments flag */ 

/* mask for fragmenting bits */ 
/* time to live */ 

/* protocol */ 

/* checksum */ 

/* source and dest address */ 


#deflne IPOPT.EOL 
#deflne IPOPTAEND 
#deflne IPOPT.NOP 
#deflne IPOPT_NOOP 


0 /* end of option list */ 

IPOPT_EOL 

1 /* no operation */ 

IPOPT.NOP 


#deflne 

#deflne 

#deflne 

#deflne 

#deflne 

#deflne 

#deflne 

#deflne 


IPOPT_RR 7 /* record packet route */ 

IPOPT_TS 68 /* timestamp */ 

IPOPTATIMESTAMP IPOPT_TS 

IPOPT.SECURITY 130 /* provide s,c,h,tcc */ 

IPOPT.SEC IPOPT.SECURITY 

IPOPT_LSRR 131 /* loose source route */ 

IPOPT.SATID 136 /* satnet id */ 

IPOPT.SID IPOPT.SATID 
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#define IPOPT.SSRR 
#deflne IPOPT_RA 


137 

148 


/* strict source route */ 
/* router alert */ 


/ /BSD Flavour 60 

struct iphdr 

{ 

#if __BYTE_ORDER == __LITTLE_ENDIAN 
unsigned int ihl:4; 
unsigned int version:4; 

#elif __BYTE_ORDER == __BIG_ENDIAN 
unsigned int version:4; 
unsigned int ihl:4; 

#else 70 

# error "Please fix <bits/endian.h>" 

#endif 

u_int8_t tos; 
u_intl6_t tot_len; 
u_intl6_t id; 
u_intl6_t frag.off; 
u_int8_t ttl; 
u_int8_t protocol; 
u_intl6_t check; 

u_int32_t saddr; 80 

u_int32_t daddr; 

/ *The options start here. */ 

}; 


Como podeis ver no hay una unica definicion de contenedor para una cabecera IP, corno 
se dice en el argot, hay varios flavours (sabores), tenemos BSD flavorus, Linux Flavours... Son 
distintas de maneras de organizar los misrnos datos, asi que para gustos ... ahora tambien las 
cabeceras IP. 


No voy a entrar a describir en detalle los contenidos de la cabecera IP, para eso estan 
los RFC’s , sin embargo quiero hacer especial hincapie en el carnpo protocol ya que nos 
servira para determinar cual sera la tercera y ultima cabecera a extraer. Existen multitud 
de protocolos, aunque los mas importantes son ICMP (protocolo=l) TCP (protocol=6) UDP 
(protocol=17) IPV6 (protocol=41). 


En el siguiente ejemplo se muestra corno llegar a extraer el payload de un paquete TCP 
(IPheader.protocol=6), si no pongo un ejemplo por cada tipo de protocolo es por que serfa 
bastante repetitivo. Sea cual sea el protocolo los pasos a seguir son estos: 


1. Extraemos la cabecera Ethernet (6 primeros bytes). 

2. Consultants el carnpo ether .type, para saber si es IP. 

3. Si es IP, consultants el carnpo protocol. 

4. Varnos a /usr/includes/netinet y consultants corno es la cabecera para ese protocolo. 


29 



5. Consultamos el tamano de esta ultima cabecera y el payload, si es que lo lleva, va a 
continuacion. 
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2.7.2. Ejemplol. Extraccion del payload de un paquete TCP 


* file: pcapAooktcp.c 

* date: 25-Abril-2005 

* Author: Alejandro Lopez Monge 

* 

* Compilacion: gee -Ipcap -o pcapJooktcp pcapAooktcp.c 

* 

* Ejemplo de como extraer el payload de una paeticion WEB port=80 

* 


#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 


<pcap.h> 

<stdio.h> 

<stdlib.li> 

<errno.h> 

<sys/socket.h> 

< net inet / in . h > 
<arpa/inet.h> 
<netinet/if_ether.h> 
<netinet /ether. h> 

< net inet/ ip. h> 


/ /Funcion callback, sera invocada cada vez que se reciba un paquete 

void my_callback(u_char *useless, const struct pcap_pkthdr* pkt.hdr, const u_char* packet) 

{ 

static int count = 0; //inicializamos el contador 
count ++;printf("\n"); 
struct ether_header *eptr; 


/* Apuntamos el puntero a la cabecera Ethernet al 
comienzo del paquete 

7 

eptr = (struct ether_header *) packet; 
printf("Paquete numero : */,d\n", count); 

printf("MAC origen: "/,s\n", ether_ntoa(eptr— >ether_shost) ); 
printf("MAC destino: "/,s\n", ether_ntoa(eptr— >ether_dhost) ); 

//Comprobamos de que tipo es el paquete 

if (ntohs (eptr— >ether_type) == ETHERTYPE_IP) 

{printf("Es de tipo IP, por ahora nos vale\n");} 

else if (ntohs (eptr— >ether_type) == ETHERTYPE_ARP) 

{printf("Es de tipo ARP, no nos vale\n"); return;} 

else if (ntohs (eptr— >ether_type) == ETHERTYPE_REVARP) 

{printf("Es de tipo RARP, no nos vale\n"); return;} 

else 

{printf("Es de tipo desconocido, no nos vale\n");} 

/* Ahora extraemos la cabecera IP, por lo que tenemos 
que desplazar el tamaho de la cabecera Ethernet ya 
procesada 

7 

struct ip *ipc; 

ipc=packet+sizeof (struct ether_header); 
printf("El ttl es ”/,d\n" ,ipc— >ip tt.l) ; 
printf("IP origen: ’/,s\n",inet_ntoa(ipc— >ip_src)); 
printf("IP destino: "/,s\n",inet_ntoa(ipc— >ip_dst)); 
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60 


} 


/* Comprobamos que el protocolo sea TCP */ 
switch (ipc— >ip_p) 

{ 


case 1: 
{printf("Es 
case 6: 
{printf("Es 
case 17: 
{printf("Es 
default: 
{printf("Es 


ICMP, no vale\n");return;} 

TCP, nos vale\n");break;} 

UDP, no nos vale\n");return;} 

un protocolo desconocido, no nos vale\n");return;} 


} 

char* payload= packet+sizeof (struct ether_header)+ipc— >ip_len; 
printf( "Payload: \n"/,s\n" .payload); 


int main(int argc.char **argv) 

{ 

char *filtro="tcp and port 80"; //solo el trafico web 
char *dev; 

char errbuf [PC AP_ERRBUF_SIZE] ; 

pcap_t* descr; 

const u_char *packet; 

struct pcap_pkthdr hdr; 

struct ether_header *eptr; // Ethernet 

bpf_u_int32 maskp; / / mascara de subred 

bpf_u_int32 netp; / / direction de red 

struct bpf_program fp; //El programa de filtrado compilado 

dev = pcap_lookupdev(errbuf); //Buscamos un dispositivo del que comenzar la captura 
if (dev == NULL) 

{fprintf(stderr," "/,s\n", errbuf); exit(l);} 
else 

{printf("Abriendo "/,s en modo promiscuo\n",dev);} 
pcap_lookupnet(dev,&'netp,&maskp, errbuf); //extraemos la direction de red y la mascara 


descr = pcap_open_live(dev,BUFSIZ, 1,-1, errbuf); //comenzamos la captura en modo promiscuo 

if(pcap_compile(descr,&'fp.filtro,0,netp) == —1) //compilamos el programa 
{fprintf(stderr, "Error compilando el filtro\n"); exit(l);} 

if(pcap_setfilter(descr,&fp) == —1) //aplicamos el filtro 

{fprintf(stderr, "Error aplicando el filtro\n"); exit(l);} 

if (descr == NULL) 

{printf("pcap_open_live 0 : °/,s\n" .errbuf); exit(l); } 


pcap_loop(descr, — l,my_callback,NULL); //entramos en el bucle (infinito) 


return 0; 

} 


70 


80 


90 


100 


110 


32 



2.8. (S4) Volcando los datos a un fichero 

Libpcap nos ofrece tambien la posibilidad de guardar los datos en un fichero para pro- 
cesarlos mas adelante, (lo que en ingles se llama dump to a file) varnos a ver cuales son las 
funciones especificas para esta tarea. 


2.8.1. Funciones especificas 

p cap .dump er_t *pcap_dump_open(pcap_t *p, char *fname) 

Esta funcion se utiliza para abrir un fichero de salida en el que guardar los datos que 
vayamos capturando. Si todo va bien la funcion abrira el fichero char* fname en rnodo 
escritura y nos devolvera un puntero a un descriptor de tipo pcap_dumper_t sobre el 
que podremos comenzar a volcar datos. En caso de error la funcion devolvera NULL y 
podemos ver un error mas descriptivo con la funcion pcap_geterr(). 

pcap_open_of f line (filename , errbuf ) ) 

Esta funcion sirve para abrir un fichero con paquetes ya guardados en formato TCPDUMP 
en rnodo lectura. Los parametros son muy parecidos a los de la funcion anterior, fname 
para la ruta del fichero, NULL en caso de que la funcion falle, la diferencia es que en este 
caso para consultar la description del error consultaremos errbuf. 

void pcap_dump(u_char *user, struct pcap.pkthdr *h,u_char *sp) 

Una abierto el fichero salida con pcap_dump_open(), podemos comenzar a loguear los 
paquetes con esta funcion. 

void pcap_dump_close (pcap_dumper_t *p) 

Si hernos terminado con el fichero de salida, podemos cerrarlo llamando a esta funcion. 


33 



2.8.2. Ejemplol: Guardando los datos 


* file: dump -packets, c 

* date: 25-Abril-2005 

* Author: Alejandro Lopez Monge 

* 

* Compilacion: gee -Ipcap -o dump-packets dump -packets, c 

* 

* Este ejemplo muestra como capturar paquetes y guardarlos en un fichero 

* para su posterior procesamiento, todo ello empleando las funciones propias 

* de la API de Libpcap. Combinamos varias de las cosas que ya hemos aprendido 10 

* aplicar filtros, este programa solo captura los paquetes que sean de la misma 

* red y que vayan destinados al puerto 23, y una cosa nueva las estadisticas. 

#include <unistd.h> 

#include <stdio.h> 

#include <pcap.li> 

#include <netinet/in.h> 

#include <sys/socket.h> 

20 

#define IFSZ 16 

#defme FLTRSZ 120 

#define MAXHOSTSZ 256 

#define PCAP_SAVEFILE " . /pcap_savef ile" 

extern char *inet_ntoa(); 

int usage(char *progname) 

{ 

printf("Uso : ’/,s <interfaz> [<fichero salida>]\n", basename(progname)); 30 

exit(ll); 

} 

int main(int arge, char **argv) 

{ 

pcap_t *p; 

struct pcap_stat ps; /* estadisticas */ 

pcap_dumper_t *pd; /* dump file */ 

char ifname[IFSZ]; /* nombre de la interfaz */ 

char filename[80]; /* nombre del dump file*/ 40 

char errbuf[PCAP_ERRBUF_SIZE]; /* descripcion del error */ 

char lhost [MAXHOSTSZ]; /* nombre del localhost */ 

char fltstr[FLTRSZ]; /* texto del bpf filter*/ 

char prestr[80]; /* prefijo para los errores */ 

struct bpf_program prog; /* BPF compilado */ 

int optimize = 1; 

int snaplen = 80; /* Tamaho por paquete * / 

int promise = 0; /* modo de captura */ 

int to_ms = 1000; /* timeout*/ 50 

int count = 20; /* numero de paquetes a capturar */ 

int net = 0; /* direccion de red*/ 

int mask = 0; /* mascara de subred */ 

char netstr[INET_ADDRSTRLEN]; /* direccion de red en modo texto*/ 
char maskstr[INET_ADDRSTRLEN]; /* mascara de red en modo texto */ 
int linktype = 0; /* tipo de enlace de datos*/ 

int pcount = 0; /* Numero de paquetes leidos * / 
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if (argc < 2) 

usage(argv[0]); 60 

if (strlen(argv[l]) > IFSZ) { 

fprintf(stderr, "Nombre de interfaz invalido . \n");exit(l); 

} 

strcpy(ifname, argv[l]); 

/* 

* Si se especifica un nombre para el fichero salida, se usara. En caso 

* contrario se usara uno por defecto 

*/ 70 

if (argc >= 3) 

strcpy(filename,argv[2]); 

else 

st ropy ( filename , PCAP_SAVEFILE); 

if (!(p = pcap_open_live(ifname, snaplen, promise, to_ms, errbuf))) { 

fprintf(stderr, "Error al abrir la interfaz % s : °/,s\n" .ifname, errbuf); 
exit(2); 

} 

80 

if (pcap_lookupnet(ifname, &net, &mask, errbuf) < 0) { 

fprintf(stderr, "Error looking up network: "/,s\n", errbuf); 
exit(3); 

} 

/* Obtenemos el nombre del localhost para aplicarlo en el filtro */ 
if (gethostname(lhost,sizeof(lhost)) < 0) { 

fprintf(stderr, "Error consultado el hostname . \n"); 
exit(4); 

} 90 

inet_ntop(AF_INET, (char*) &net, netstr, sizeof netstr); 
inet_ntop(AF_INET, (char*) &mask, maskstr, sizeof maskstr); 

/* Aplicamos el siguiente filtro */ 

sprintf(fltstr,"dst host '/,s and sre net °/,s mask'/,s and tep port 23",lhost, netstr, maskstr); 

/* Lo compilamos */ 

if (pcap_compile(p,&'prog,fftstr, optimize, mask) < 0) { 

fprintf(stderr, "Error compilando el f iltro "/,s : "/,s\n" .ifname, pcap_geterr(p)); 100 

exit(5); 

} 

/* Cargamos el filtro */ 
if (pcap_setfilter(p, &prog) < 0) { 
pcap_perror(p,prestr); 
exit(6); 

} 

/* Comenzamos el DUMP */ 110 

if ((pd = pcap_dump_open(p, filename)) == NULL) { 

fprintf(stderr, "Error abriendo el fichero \" "/.s\" para escritura: "/,s\n" .filename, pcap_geterr(p)); 
exit(7); 

} 

if ((pcount = pcap_dispatch(p, count, A'pcap-dump, (char *)pd)) < 0) { 
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pcap_perror(p,prestr); 

exit(8); 

} 

printf("Numero de paquetes correctamente procesados : "/„d. \n",pcount); 120 

if (!(linktype = pcap_datalink(p))) { 

fprintf(stderr, "Error obteniendo el data link'/,s",ifname); 
exit(9); 

} 

printf("El data link es ’/,s : '/,d. \n",ifname, linktype); 

//imprimimos las estadisticas 

if (pcap_stats(p, &ps) != 0) { 

fprintf(stderr, "Error obteniendo las estadisticas : "/„s\n",pcap_geterr(p)); 130 

exit(10); 

} 

/* Estas son las estadisticas */ 

printf("Estadisticas : \n"); 

printf(" "/,d Numero de paquetes que han pasado el filtro\n", ps.ps_recv); 

printf(" "/.d Numero de paquetes que no han llegado a salir del Kernel\n", ps.ps_drop); 

pcap_dump_close(pd) ; 

pcap_close(p); 140 
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2.8.3. Ejemplo2: Recuperando los datos 


* 

* Fichero: pcap-read.c 

* Fecha: Alejandro Lopez Monge 

* 

* Compilacion: gcc -Ipcap -o pcap_read Isdevs.c 

* 

* Programa original: http://publib.boulder.ibm.com/ 

* Descripcion: 

* Abrirmos un fichero donde previamente hemos volcado paquetes 10 

* con las funciones pcap-dump y los recuperamos como si los estuviesemos 

* leyendo de la red en tiempo real 

* 

#include <stdio.h> 

#include <pcap.h> 

#define IFSZ 16 
#define FLTRSZ 120 
#define MAXHOSTSZ 256 

#define PCAP_SAVEFILE " . /pcap_savef ile" //ruta donde se salad's el fichero por defecto 20 

int packets = 0; / /Contador de paquetes 

//modo de empleo 

int usage(char *progname) 

{ 

printf("Uso : ’/,s <interfaz> [<fichero entrada>] \n" , basename(progname)); 
exit(7); 

} 

/ / print_addrs() escribe las directions IP origen y destino del paquete al stdout 30 

void print_addrs(u_char *user, const struct pcap_pkthdr *hdr, const u_char *data) 

{ 

int offset = 26; // 14 MAC header + 12 IP 
if (hdr— >caplen < 30) { 

// Los datos capturados no son suficientes para extraer la direction IP 

fprintf(stderr, "Error : El paquete capturado no es lo suf icientemente grande para extraer direcciones IP.\n' 
return; 

} 

printf(" Paquete recivido desde: "/,d. '/.d. "/,d. “/,d\n", 

data[offset], data[offset+l], data[offset+2], data[offset+3]); 40 

if (hdr— >caplen >= 34) { 

printf("y destinado a'/.d. ”/,d. '/,d. ’/.d\n", 
data[offset+4] , data[offset+5], 
data[offset+6] , data [offset +7]); 

} 

packets++; 

} 

int main(int argc, char **argv) 

{ 50 

pcap_t *p; 

char ifname[IFSZ] ; //nombre de la interfaz 

char filename [80]; //nombre del savefile a leer 
char errbuf[PCAP_ERRBUF_SIZE]; 
char prestr[80[; 

int majver = 0, minver = 0; // versiones 
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//El nombre de la interfaz debe ser pasado por li'nea de comandos. 
if (argc < 2) 

usage(argv[0]); 

if (strlen(argv[l]) > IFSZ) { 

fprintf(stderr, "Nombre de interfaz invalido\n"); 
exit(l); 

} 

strcpy(ifname, argv[l]); 

/* Si no hay un segundo argumento (nombre fichero entrada) 

* se usa el nombre por defecto “./pcap save file” 

V 

if (argc >= 3) 

strcpy(filename,argv[2]); 

else 

strcpy (filename, PCAP_SAVEFILE); 

/* Abre la intefaz para la captura de datos. 

* Debe llamarse antes de capturar cualquier paquete 

V 

if (!(p = pcap_open_offline(filename, errbuf))) { 

fprintf(stderr, "Error abriendo el fichero, 7 0 s, en modo lectura: "/ 0 s\n", 
filename, errbuf); 

exit(2); 

} 


//pcap_dispach(), por cada paquete lee del savefile, hasta error o EOF 
if (pcap_dispatch(p, 0, &'print_addrs, (char *)0) < 0) { 

sprintf(prestr, "Error , no puedo leer de la interfaz "/,s" .ifname); 

pcap_perror(p,prestr); 

exit(4); 

} 

printf("\nPaquetes leidos : ”/,d\n", packets); 

/ / Mostramos las versiones en pantalla 
if (!(majver = pcap_major_version(p))) { 

fprintf(stderr, "Error obteniendo la -mayor version- de la interfaz: "/,s", ifname); 
exit(5); 

} 

printf("La -mayor version- usada para crear el fichero es : ’/,d.\n", majver); 
if (!(minver = pcap_minor_version(p))) { 

fprintf(stderr, "Error obteniendo la -minor version- de la interfaz: "/,s", ifname); 
exit(6); 

} 

printf("La -minor version-: °/,d.\n", minver); 

pcap_close(p); // Cerramos el dispositivo de captura y la memoria usada por el descriptor 



2.9. Estructuras de datos usadas por Pcap 


2.9.1. ^Donde estan definidas? 

Dependiendo del sistema operativo en el que estes programando, el fichero pcap.h es- 
tara ubicado en un lugar u otro (en Linux por defecto esta en /usr/include/. Este fichero 
contiene las cabeceras de todas las funciones y las definciones de las estructuras de datos 
especfficas de Libpcap, a continuacion se detallan las mas relevantes. 


2.9.2. Principales Estructuras 


Informacion de Interfaces 


/* 

La llamada a pcap-findalldevs, construye una lista enlazada de 
pcap -if (pcapAf=pcap-if-t), en la cual se recpge toda la inf or 
macion de cada una de las interfaces de red instaladas. 

V 


struct pcaptif { 

struct pcap_if *next; // enlace a la siguiente definition de interfaz 
char *name; // nombre de la interfaz (ethO.wlanO. . .) 

char description; // descripcion de la interfaz o NULL 

struct pcap_addr *addresses;// lista enlazada de direcciones asociadas a esta interfaz 
u_int flags; // PCAP_IF_ interface flags 

}; 

10 

/* 

Una interfaz puede tener varias direcciones, para contenerlas todas 
se crear una lista con un pcap_addr por cada una 

V 

20 

struct pcap_addr { 

struct pcap_addr *next; / / enlace a la siguiente direction 

struct sockaddr *addr; / / direction 

struct sockaddr *netmask; // mascara de red 

struct sockaddr *broadaddr; / / direction de broadcast para esa direction 
struct sockaddr *dstaddr; // direction de destino P2P (punto a punto) 

}; 


Estadisticas 

30 

/* 

Mediantes la llamada a pcapstats obtenemos la siguiente 
estructura con valiosa informacion estadistica 

V 


struct pcap_stat { 

utint ps_recv; / / numero de paquetes recibidos 

utint ps_drop; / / numero de paquetes dropped 

utint pstifdrop; / / drops por cada interfaz (aun no soportado) 

}; 

40 

Paquetes 
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/* 

Cada paquete del dump file va precedido por esta cabecera generica 
de modo que un mismo fichero puede contener paquetes heterogeneos 

V 

struct pcap_pktlidr { 

struct timeval ts; 
bpf_u_int32 caplen; 
bpf_u_int32 len; 

}; 

struct pcap_file_lieader { 
bpf_u_int32 magic; 
u_short version_major; 
u_short version_minor; 
bpf_int32 thiszone; 
bpf_u_int32 sigfigs; 
bpf_u_int32 snaplen; 
bpf_u_int32 linktype; 

}; 

La estructura pcap_t 


/* 

La estructura pcapJ, que aparece en muchas funciones, es una estructura 

opaca para el usuario. Por lo tanto no es necesario que sepa cuales 70 

son sus contenidos, basta con que se sepa que ahi es donde Libpcap 
guarda sus variables internas 

V 


/ / correcion de GMT a local 60 

/ / precision de los timestamps 
/ / tamano maximo salvado de cada paquete 
/ / tipo de DataLink 


50 

/ / time stamp (marca de tiempo) 

/ / tamano del paquete al ser capturado 
/ / tamano real del paquete en el fichero; 
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